本發(fā)明涉及計算機技術(shù)領(lǐng)域，特別涉及一種信息攔截方法及裝置。

背景技術(shù)：

終端系統(tǒng)提供了便于用戶修改系統(tǒng)屏幕分辨率的函數(shù)，用戶可以根據(jù)自己的需要設(shè)置函數(shù)參數(shù)，以便將屏幕分辨率設(shè)置成目標(biāo)樣式。隨著計算機技術(shù)的發(fā)展，木馬、病毒等惡意程序?qū)映霾桓F。一些惡意程序通常會利用系統(tǒng)提供的函數(shù)惡意修改用戶的屏幕分辨率，破壞用戶的終端系統(tǒng)環(huán)境。

現(xiàn)有技術(shù)中，常常無法攔截這些惡意程序?qū)τ脩羝聊环直媛实男薷摹?/p>

技術(shù)實現(xiàn)要素：

本發(fā)明實施例的目的在于提供了一種信息攔截方法及裝置，能夠攔截惡意程序?qū)τ脩羝聊环直媛实男薷摹?/p>

為了達到上述目的，本發(fā)明公開了一種信息攔截方法，所述方法包括：

檢測是否接收到針對第一函數(shù)的調(diào)用請求；其中，所述第一函數(shù)為用于修改屏幕分辨率的系統(tǒng)內(nèi)核層函數(shù)；

若接收到，判斷生成所述調(diào)用請求的第一程序是否屬于惡意程序；

如果是，則攔截所述調(diào)用請求，進而拒絕修改屏幕分辨率。

較佳的，所述方法還包括：

當(dāng)判斷出所述第一程序不屬于惡意程序時，響應(yīng)所述調(diào)用請求。

較佳的，所述判斷生成所述調(diào)用請求的第一程序是否屬于惡意程序，包括：

獲得生成所述調(diào)用請求的第一程序的進程信息；

判斷所述進程信息是否與預(yù)設(shè)的惡意進程特征庫相匹配，其中，所述惡意進程特征庫用于存儲惡意進程的信息；

若匹配，則判定所述第一程序?qū)儆趷阂獬绦颉?/p>

較佳的，所述判斷生成所述調(diào)用請求的第一程序是否屬于惡意程序，包括：

獲得生成所述調(diào)用請求的第一程序的路徑信息；

根據(jù)所述路徑信息，獲得所述第一程序的程序文件；

根據(jù)所述程序文件，生成所述第一程序的特征值；

判斷所述特征值是否與預(yù)先存儲的惡意程序特征值匹配；

若匹配，判定所述第一程序?qū)儆趷阂獬绦颉?/p>

較佳的，所述特征值包括消息摘要算法值MD5值和/或哈希值。

較佳的，所述檢測是否接收到針對第一函數(shù)的調(diào)用請求，包括：

通過設(shè)置鉤子函數(shù)的方式，檢測是否接收到針對第一函數(shù)的調(diào)用請求。

為了達到上述目的，本發(fā)明公開了一種信息攔截裝置，所述裝置包括：

檢測模塊，用于檢測是否接收到針對第一函數(shù)的調(diào)用請求；其中，所述第一函數(shù)為用于修改屏幕分辨率的系統(tǒng)內(nèi)核層函數(shù)；

判斷模塊，用于當(dāng)接收到所述調(diào)用請求時，判斷生成所述調(diào)用請求的第一程序是否屬于惡意程序；

攔截模塊，用于當(dāng)判斷出第一程序?qū)儆趷阂獬绦驎r，攔截所述調(diào)用請求，進而拒絕修改屏幕分辨率。

較佳的，所述裝置還包括響應(yīng)模塊，用于：

當(dāng)判斷出所述第一程序不屬于惡意程序時，響應(yīng)所述調(diào)用請求。

較佳的，所述判斷模塊包括：

第一獲得子模塊，用于獲得生成所述調(diào)用請求的第一程序的進程信息；

第一判斷子模塊，用于判斷所述進程信息是否與預(yù)設(shè)的惡意進程特征庫相匹配，其中，所述惡意進程特征庫用于存儲惡意進程的信息；

第一判定子模塊，用于當(dāng)所述進程信息與預(yù)設(shè)的惡意進程特征庫相匹配時，判定所述第一程序?qū)儆趷阂獬绦颉?/p>

較佳的，所述判斷模塊具體包括：

第二獲得子模塊，用于獲得生成所述調(diào)用請求的第一程序的路徑信息；

第三獲得子模塊，用于根據(jù)所述路徑信息，獲得所述第一程序的程序文件；

生成子模塊，用于根據(jù)所述程序文件，生成所述第一程序的特征值；

第二判斷子模塊，用于判斷所述特征值是否與預(yù)先存儲的惡意程序特征值匹配；

第二判定子模塊，用于當(dāng)所述特征值與預(yù)先存儲的惡意程序特征值匹配時，判定所述第一程序?qū)儆趷阂獬绦颉?/p>

較佳的，所述檢測模塊具體用于：

通過設(shè)置鉤子函數(shù)的方式，檢測是否接收到針對第一函數(shù)的調(diào)用請求。

由上述技術(shù)方案可見，本發(fā)明實施例中，當(dāng)接收到針對第一函數(shù)的調(diào)用請求時，判斷生成該調(diào)用請求的第一程序是否屬于惡意程序，如果是，則攔截該調(diào)用請求，進而拒絕修改屏幕分辨率。其中，第一函數(shù)為用于修改屏幕分辨率的系統(tǒng)內(nèi)核層函數(shù)。也就是說，本實施例中，根據(jù)針對用于修改屏幕分辨率的系統(tǒng)內(nèi)核層函數(shù)的調(diào)用請求，攔截生成該調(diào)用請求的惡意程序，因此能夠攔截惡意程序?qū)τ脩羝聊环直媛实男薷摹?/p>

附圖說明

為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單的介紹。顯而易見地，下面描述中的附圖僅僅是本發(fā)明的一些實施例，對于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1為本發(fā)明實施例提供的信息攔截方法的一種流程示意圖；

圖2為本發(fā)明實施例提供的信息攔截方法的另一種流程示意圖；

圖3為本發(fā)明實施例提供的信息攔截方法的又一種流程示意圖；

圖4為本發(fā)明實施例提供的信息攔截裝置的一種結(jié)構(gòu)示意圖。

圖5為本發(fā)明實施例提供的信息攔截裝置的另一種結(jié)構(gòu)示意圖。

具體實施方式

下面將結(jié)合本發(fā)明實施例中的附圖，對本發(fā)明實施例中的技術(shù)方案進行清楚、完整的描述。顯然，所描述的實施例僅僅是本發(fā)明的一部分實施例，而不是全部的實施例?；诒景l(fā)明中的實施例，本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動的前提下所獲得的所有其他實施例，都屬于本發(fā)明保護的范圍。

本發(fā)明實施例提供了一種信息攔截方法及裝置，能夠攔截惡意程序?qū)τ脩羝聊环直媛实男薷摹?/p>

下面通過具體實施例，對本發(fā)明進行詳細(xì)說明。

圖1為本發(fā)明實施例提供的信息攔截方法的一種流程示意圖，所述方法包括如下步驟：

步驟S101：檢測是否接收到針對第一函數(shù)的調(diào)用請求，若接收到，則執(zhí)行步驟S102。

其中，所述第一函數(shù)為用于修改屏幕分辨率的系統(tǒng)內(nèi)核層函數(shù)。由于第一函數(shù)是公共可用的函數(shù)，因此非惡意程序和惡意程序都可以調(diào)用它，通過它來修改終端的屏幕分辨率。

舉例來說，用于修改屏幕分辨率的系統(tǒng)內(nèi)核層函數(shù)可以是NtUserChangeDisplaySettings等。在實際應(yīng)用中，在修改屏幕分辨率時，可以先調(diào)用系統(tǒng)應(yīng)用層函數(shù)，通過系統(tǒng)應(yīng)用層函數(shù)來調(diào)用系統(tǒng)內(nèi)核層函數(shù)，實現(xiàn)對屏幕分辨率的修改。例如，先調(diào)用系統(tǒng)應(yīng)用層函數(shù)ChangeDisplaySettings，再調(diào)用系統(tǒng)內(nèi)核層函數(shù)NtUserChangeDisplaySettings，通過對NtUserChangeDisplaySettings的調(diào)用實現(xiàn)對屏幕分辨率的修改。

值得一提的是，上述系統(tǒng)內(nèi)核層函數(shù)和系統(tǒng)應(yīng)用層函數(shù)并不僅限于此，基于不同的操作系統(tǒng)，上述系統(tǒng)內(nèi)核層函數(shù)和系統(tǒng)應(yīng)用層函數(shù)可能會有所不同，本申請并不對此進行限定。

需要說明的是，本實施例是應(yīng)用于終端的，具體是由終端中的第一客戶端執(zhí)行的。其中，終端可以包括筆記本電腦、臺式電腦、平板電腦、智能手機等電子設(shè)備。

在本實施例中，為了更準(zhǔn)確地檢測是否接收到上述調(diào)用請求，步驟S101的一種具體實施方式包括：通過設(shè)置鉤子函數(shù)的方式，檢測是否接收到針對第一函數(shù)的調(diào)用請求。

其中，鉤子函數(shù)Hook是Windows消息處理機制的一個平臺，鉤子機制允許應(yīng)用程序截獲處理Window消息或特定事件。另外，Hook實際上是一個處理消息的程序段，通過系統(tǒng)調(diào)用，把它掛入系統(tǒng)。每當(dāng)調(diào)用請求發(fā)出，在沒有到達系統(tǒng)內(nèi)核層函數(shù)之前，Hook就先捕獲該調(diào)用請求，亦即Hook先得到控制權(quán)。這時Hook既可以對該調(diào)用請求進行加工處理，也可以不作處理而繼續(xù)傳遞該調(diào)用請求，還可以強制結(jié)束即攔截該調(diào)用請求的傳遞。

鑒于上述情況，第一客戶端可以通過設(shè)置鉤子函數(shù)的方式監(jiān)測針對第一函數(shù)的調(diào)用請求，當(dāng)監(jiān)測到調(diào)用請求時，在系統(tǒng)內(nèi)核層函數(shù)響應(yīng)該調(diào)用請求之前，第一客戶端先處理該調(diào)用請求。

步驟S102：判斷生成所述調(diào)用請求的第一程序是否屬于惡意程序，如果是，則執(zhí)行步驟S103。

在本實施例中，本步驟還可以包括：當(dāng)判斷出第一程序不屬于惡意程序時，響應(yīng)所述調(diào)用請求，即放行該調(diào)用請求，繼續(xù)修改屏幕分辨率。

需要說明的是，所有生成所述調(diào)用請求的程序都是本實施例的監(jiān)控對象，該程序可能是惡意程序，也可能不是惡意程序。

可以理解的是，當(dāng)接收到所述調(diào)用請求時，根據(jù)所述調(diào)用請求，確定生成該調(diào)用請求的第一程序?qū)儆诂F(xiàn)有技術(shù)，其具體過程此處不再贅述。其中，確定第一程序可以是確定第一程序的程序名稱和/或第一程序的程序標(biāo)識等能夠唯一標(biāo)示該第一程序的信息。

在本步驟中，判斷第一程序是否屬于惡意程序可以包括多種實施方式，例如，可以根據(jù)第一程序的標(biāo)識信息，將其與預(yù)先保存的惡意程序標(biāo)識信息進行匹配，也可以根據(jù)第一程序的程序文件判斷其是否屬于惡意程序。當(dāng)然，該判斷過程可以通過其他實施方式來實現(xiàn)，本實施例對此不做具體限定。

步驟S103：攔截所述調(diào)用請求，進而拒絕修改屏幕分辨率。

由上述內(nèi)容可知，在本實施例中，根據(jù)接收到的針對第一函數(shù)的調(diào)用請求，判斷生成該調(diào)用請求的第一程序是否屬于惡意程序，如果是，則攔截該調(diào)用請求，進而拒絕修改屏幕分辨率，其中，第一函數(shù)為用于修改屏幕分辨率的系統(tǒng)內(nèi)核層函數(shù)，因此本實施例能夠攔截惡意程序?qū)τ脩羝聊环直媛实男薷摹２⑶?，由于系統(tǒng)內(nèi)核層函數(shù)是惡意程序在修改屏幕分辨率時必定會調(diào)用的函數(shù)，因此本實施例還能夠提高攔截惡意程序?qū)ζ聊环直媛蔬M行修改時的成功率。

在本發(fā)明的另一實施例中，在圖1所示實施例的基礎(chǔ)上，步驟S102，判斷生成所述調(diào)用請求的第一程序是否屬于惡意程序，可以按照圖2所示流程示意圖進行，具體可以包括步驟：

步驟S102A：獲得生成所述調(diào)用請求的第一程序的進程信息。

其中，獲得的進程信息可以是進程名稱，也可以是進程中包含的路徑，當(dāng)然，也可以是其他信息，只要是能夠唯一標(biāo)示該第一程序的進程的信息都是可行的。具體的，根據(jù)調(diào)用請求，獲得生成該調(diào)用請求的第一程序的進程信息屬于現(xiàn)有技術(shù)，其具體過程此處不再贅述。

步驟S102B：判斷所述進程信息是否與預(yù)設(shè)的惡意進程特征庫相匹配，若匹配，則執(zhí)行步驟S102C。

其中，惡意進程特征庫用于存儲惡意進程的信息。下面以進程信息為進程名稱為例舉例說明。獲取第一程序的進程名稱，判斷預(yù)設(shè)的惡意進程特征庫中是否存在與該進程名稱相匹配的名稱，如果是，則判定第一程序?qū)儆趷阂獬绦颍駝t，判定第一程序不屬于惡意程序。

步驟S102C：判定第一程序?qū)儆趷阂獬绦颉?/p>

由上述內(nèi)容可見，本實施例中，根據(jù)第一程序的進程信息判斷第一程序是否屬于惡意程序，由于進程是程序運行時終端系統(tǒng)進行資源分配和調(diào)度的基本單位，進程信息一般不容易被惡意修改，因此根據(jù)進程信息判斷程序是否屬于惡意程序，能夠提高惡意程序的判斷準(zhǔn)確性。

在本發(fā)明的另一實施例中，在圖1所示實施例的基礎(chǔ)上，步驟S102，判斷生成所述調(diào)用請求的第一程序是否屬于惡意程序，可以按照圖3所示流程示意圖進行，具體可以包括步驟：

步驟S102D：獲得生成所述調(diào)用請求的第一程序的路徑信息。

在本步驟中，獲得第一程序的路徑信息的方式存在多種，其中一種方式可以包括：獲得第一程序的進程信息，從所述進行信息中獲取第一程序的路徑信息。本實施例對獲得第一程序的路徑信息的方式不做具體限定。

步驟S102E：根據(jù)所述路徑信息，獲得第一程序的程序文件。

可以理解的是，根據(jù)路徑信息，獲得第一程序的程序文件屬于現(xiàn)有技術(shù)，其具體過程此處不再贅述。

步驟S102F：根據(jù)所述程序文件，生成所述第一程序的特征值。

其中，所述特征值可以包括消息摘要算法值MD5值(Message-Digest Algorithm 5)和/或哈希值。MD5算法可以把一個任意長度的字符串變換成一定長度的十六進制數(shù)字串。在本實施例中，MD5算法將整個程序文件當(dāng)做一個字符串，通過對其進行不可逆的字符串變換操作，得到程序文件的MD5值。不同的程序文件對應(yīng)不同的MD5值。哈希算法hash可以將任意長度的二進制值映射為較短的固定長度的二進制值，該二進制值稱為哈希值。即便兩個程序文件A和B中只有一個字母不同，通過哈希算法得到的A和B的哈希值也會不同。可以理解的是，MD5值和哈希值都可以唯一地表征該程序文件。

當(dāng)然，本實施例中的特征值還可以是采用其他算法得到的，本實施例對此不做具體限定。

步驟S102G：判斷所述特征值是否與預(yù)先存儲的惡意程序特征值匹配，若匹配，則執(zhí)行步驟S102H。

其中，特征值是用于唯一確定第一程序的標(biāo)識。通過將第一程序的特征值與預(yù)先存儲的惡意程序特征值相匹配，可以確定該第一程序是否為惡意程序。當(dāng)從預(yù)先存儲的惡意程序特征值中匹配上該特征值時，說明第一程序為惡意程序，當(dāng)沒有匹配上時，說明第一程序不是惡意程序。

需要說明的是，惡意程序特征值可以是從大量所確定的惡意程序中獲得的，也可以是預(yù)先配置的。

步驟S102H：判定第一程序?qū)儆趷阂獬绦颉?/p>

由上述內(nèi)容可見，在本實施例中，根據(jù)第一程序的程序文件生成第一程序的特征值，并與預(yù)先存儲的惡意程序特征值匹配，當(dāng)匹配成功時，判定第一程序?qū)儆趷阂獬绦颍@種確定過程簡單，易實施。

圖4為本發(fā)明實施例提供的信息攔截裝置的一種結(jié)構(gòu)示意圖，與圖1所示方法實施例相對應(yīng)，所述裝置包括檢測模塊401、判斷模塊402和攔截模塊403。

其中，檢測模塊401，用于檢測是否接收到針對第一函數(shù)的調(diào)用請求；其中，所述第一函數(shù)為用于修改屏幕分辨率的系統(tǒng)內(nèi)核層函數(shù)；

判斷模塊402，用于當(dāng)接收到所述調(diào)用請求時，判斷生成所述調(diào)用請求的第一程序是否屬于惡意程序；

攔截模塊403，用于當(dāng)判斷出第一程序?qū)儆趷阂獬绦驎r，攔截所述調(diào)用請求，進而拒絕修改屏幕分辨率。

在本發(fā)明的另一實施例中，在圖2所示實施例的基礎(chǔ)上，所述裝置還可以包括響應(yīng)模塊(圖中未示出)，用于：

當(dāng)判斷出所述第一程序不屬于惡意程序時，響應(yīng)所述調(diào)用請求。

在本發(fā)明的另一實施例中，圖2所示實施例的檢測模塊401具體可以用于：

通過設(shè)置鉤子函數(shù)的方式，檢測是否接收到針對第一函數(shù)的調(diào)用請求。

在本發(fā)明的另一實施例中，在圖2所示實施例的基礎(chǔ)上，判斷模塊402可以包括第一獲得子模塊4021、第一判斷子模塊4022和第一判定子模塊4023，這三個模塊可以如圖5所示。圖5所示裝置實施例與圖2所示方法實施例相對應(yīng)。

其中，第一獲得子模塊4021，用于獲得生成所述調(diào)用請求的第一程序的進程信息；

第一判斷子模塊4022，用于判斷所述進程信息是否與預(yù)設(shè)的惡意進程特征庫相匹配，其中，所述惡意進程特征庫用于存儲惡意進程的信息；

第一判定子模塊4023，用于當(dāng)所述進程信息與預(yù)設(shè)的惡意進程特征庫相匹配時，判定所述第一程序?qū)儆趷阂獬绦颉?/p>

在本發(fā)明的另一實施例中，圖2所示實施例的判斷模塊402可以包括：(圖中未示出)

第二獲得子模塊，用于獲得生成所述調(diào)用請求的第一程序的路徑信息；

第三獲得子模塊，用于根據(jù)所述路徑信息，獲得所述第一程序的程序文件；

生成子模塊，用于根據(jù)所述程序文件，生成所述第一程序的特征值；

第二判斷子模塊，用于判斷所述特征值是否與預(yù)先存儲的惡意程序特征值匹配；

第二判定子模塊，用于當(dāng)所述特征值與預(yù)先存儲的惡意程序特征值匹配時，判定所述第一程序?qū)儆趷阂獬绦颉?/p>

由于上述裝置實施例是基于方法實施例得到的，與該方法具有相同的技術(shù)效果，因此裝置實施例的技術(shù)效果在此不再贅述。

對于裝置實施例而言，由于其基本相似于方法實施例，所以描述得比較簡單，相關(guān)之處參見方法實施例的部分說明即可。

需要說明的是，在本文中，諸如第一和第二等之類的關(guān)系術(shù)語僅僅用來將一個實體或者操作與另一個實體或操作區(qū)分開來，而不一定要求或者暗示這些實體或操作之間存在任何這種實際的關(guān)系或者順序。而且，術(shù)語“包括”、“包含”或者任何其他變體意在涵蓋非排他性的包含，從而使得包括一系列要素的過程、方法、物品或者設(shè)備不僅包括那些要素，而且還包括沒有明確列出的其他要素，或者是還包括為這種過程、方法、物品或者設(shè)備所固有的要素。在沒有更多限制的情況下，由語句“包括一個……”限定的要素，并不排除在包括所述要素的過程、方法、物品或者設(shè)備中還存在另外的相同要素。

本領(lǐng)域普通技術(shù)人員可以理解，上述實施方式中的全部或部分步驟是能夠通過程序指令相關(guān)的硬件來完成的，所述的程序可以存儲于計算機可讀取存儲介質(zhì)中。這里所稱存儲介質(zhì)，是指ROM/RAM、磁碟、光盤等。

以上所述僅為本發(fā)明的較佳實施例而已，并非用于限定本發(fā)明的保護范圍。凡在本發(fā)明的精神和原則之內(nèi)所做的任何修改、等同替換、改進等，均包含在本發(fā)明的保護范圍內(nèi)。